chiark / gitweb /
Allow user-specified symmetric crypto algorithms.
[tripe] / keymgmt.c
1 /* -*-c-*-
2  *
3  * $Id: keymgmt.c,v 1.6 2004/04/18 18:08:11 mdw Exp $
4  *
5  * Key loading and storing
6  *
7  * (c) 2001 Straylight/Edgeware
8  */
9
10 /*----- Licensing notice --------------------------------------------------* 
11  *
12  * This file is part of Trivial IP Encryption (TrIPE).
13  *
14  * TrIPE is free software; you can redistribute it and/or modify
15  * it under the terms of the GNU General Public License as published by
16  * the Free Software Foundation; either version 2 of the License, or
17  * (at your option) any later version.
18  * 
19  * TrIPE is distributed in the hope that it will be useful,
20  * but WITHOUT ANY WARRANTY; without even the implied warranty of
21  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
22  * GNU General Public License for more details.
23  * 
24  * You should have received a copy of the GNU General Public License
25  * along with TrIPE; if not, write to the Free Software Foundation,
26  * Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
27  */
28
29 /*----- Header files ------------------------------------------------------*/
30
31 #include "tripe.h"
32
33 /*----- Global variables --------------------------------------------------*/
34
35 group *gg;
36 mp *kpriv;
37 algswitch algs;
38
39 /*----- Static variables --------------------------------------------------*/
40
41 static key_file *kf_pub;
42 static const char *kr_priv, *kr_pub, *tag_priv;
43 static fwatch w_priv, w_pub;
44
45 /*----- Key groups --------------------------------------------------------*/
46
47 typedef struct kgops {
48   const char *ty;
49   const char *(*loadpriv)(key_data *, group **, mp **, dstr *);
50   const char *(*loadpub)(key_data *, group **, ge **, dstr *);
51 } kgops;
52
53 /* --- Diffie-Hellman --- */
54
55 static const char *kgdh_priv(key_data *kd, group **g, mp **x, dstr *t)
56 {
57   key_packstruct kps[DH_PRIVFETCHSZ];
58   key_packdef *kp;
59   dh_priv dp;
60   const char *e;
61   int rc;
62
63   kp = key_fetchinit(dh_privfetch, kps, &dp);
64   if ((rc = key_unpack(kp, kd, t)) != 0) {
65     e = key_strerror(rc);
66     goto done;
67   }
68   *g = group_prime(&dp.dp);
69   *x = MP_COPY(dp.x);
70   e = 0;
71 done:
72   key_fetchdone(kp);
73   return (e);
74 }
75
76 static const char *kgdh_pub(key_data *kd, group **g, ge **p, dstr *t)
77 {
78   key_packstruct kps[DH_PUBFETCHSZ];
79   key_packdef *kp;
80   dh_pub dp;
81   const char *e;
82   int rc;
83
84   kp = key_fetchinit(dh_pubfetch, kps, &dp);
85   if ((rc = key_unpack(kp, kd, t)) != 0) {
86     e = key_strerror(rc);
87     goto done;
88   }
89   *g = group_prime(&dp.dp);
90   *p = G_CREATE(*g);
91   if (G_FROMINT(*g, *p, dp.y)) {
92     e = "bad public value";
93     goto done;
94   }
95   e = 0;
96 done:
97   key_fetchdone(kp);
98   return (e);
99 }
100
101 static const kgops kgdh_ops = { "tripe-dh", kgdh_priv, kgdh_pub };
102
103 /* --- Elliptic curve --- */
104
105 static const char *kgec_priv(key_data *kd, group **g, mp **x, dstr *t)
106 {
107   key_packstruct kps[EC_PRIVFETCHSZ];
108   key_packdef *kp;
109   ec_priv ep;
110   ec_info ei;
111   const char *e;
112   int rc;
113
114   kp = key_fetchinit(ec_privfetch, kps, &ep);
115   if ((rc = key_unpack(kp, kd, t)) != 0) {
116     e = key_strerror(rc);
117     goto done;
118   }
119   if ((e = ec_getinfo(&ei, ep.cstr)) != 0)
120     goto done;
121   *g = group_ec(&ei);
122   *x = MP_COPY(ep.x);
123   e = 0;
124 done:
125   key_fetchdone(kp);
126   return (e);
127 }
128
129 static const char *kgec_pub(key_data *kd, group **g, ge **p, dstr *t)
130 {
131   key_packstruct kps[EC_PUBFETCHSZ];
132   key_packdef *kp;
133   ec_pub ep;
134   ec_info ei;
135   const char *e;
136   int rc;
137
138   kp = key_fetchinit(ec_pubfetch, kps, &ep);
139   if ((rc = key_unpack(kp, kd, t)) != 0) {
140     e = key_strerror(rc);
141     goto done;
142   }
143   if ((e = ec_getinfo(&ei, ep.cstr)) != 0)
144     goto done;
145   *g = group_ec(&ei);
146   *p = G_CREATE(*g);
147   if (G_FROMEC(*g, *p, &ep.p)) {
148     e = "bad public point";
149     goto done;
150   }
151   e = 0;
152 done:
153   key_fetchdone(kp);
154   return (e);
155 }
156
157 static const kgops kgec_ops = { "tripe-ec", kgec_priv, kgec_pub };
158
159 /* --- Table of supported key types --- */
160
161 static const kgops *kgtab[] = { &kgdh_ops, &kgec_ops, 0 };
162
163 /*----- Algswitch stuff ---------------------------------------------------*/
164
165 /* --- @algs_get@ --- *
166  *
167  * Arguments:   @algswitch *a@ = where to put the algorithms
168  *              @key_file *kf@ = key file (for some stupid reason)
169  *              @key *k@ = key to inspect
170  *
171  * Returns:     Null if OK, or an error message.
172  *
173  * Use:         Extracts an algorithm choice from a key.
174  */
175
176 static const char *algs_get(algswitch *a, key_file *kf, key *k)
177 {
178   const char *p;
179   char *q;
180   dstr d = DSTR_INIT;
181   const char *e;
182
183 #define FAIL(msg) do { e = msg; goto done; } while (0)
184
185   if ((p = key_getattr(kf, k, "cipher")) == 0)
186     p = "blowfish-cbc";
187   if ((a->c = gcipher_byname(p)) == 0)
188     FAIL("unknown cipher");
189
190   if ((p = key_getattr(kf, k, "hash")) == 0)
191     p = "rmd160";
192   if ((a->h = ghash_byname(p)) == 0)
193     FAIL("unknown hash function");
194
195   if ((p = key_getattr(kf, k, "mgf")) != 0) {
196     dstr_reset(&d);
197     dstr_putf(&d, "%s-mgf");
198     p = d.buf;
199   }
200   if ((a->mgf = gcipher_byname(p)) == 0)
201     FAIL("unknown MGF cipher");
202
203   if ((p = key_getattr(kf, k, "mac")) != 0) {
204     dstr_reset(&d);
205     dstr_puts(&d, p);
206     if ((q = strchr(d.buf, '/')) != 0)
207       *q++ = 0;
208     if ((a->m = gmac_byname(d.buf)) == 0)
209       FAIL("unknown message authentication code");
210     if (!q)
211       a->tagsz = a->m->hashsz;
212     else {
213       unsigned long n = strtoul(q, &q, 0);
214       if (*q) FAIL("bad tag length string");
215       if (n%8 || n > ~(size_t)0) FAIL("bad tag length");
216       a->tagsz = n/8;
217     }
218   } else {
219     dstr_reset(&d);
220     dstr_putf(&d, "%s-hmac", a->h->name);
221     if ((a->m = gmac_byname(d.buf)) == 0)
222       FAIL("failed to derive HMAC from hash function");
223     a->tagsz = a->h->hashsz/2;
224   }
225
226   e = 0;
227 done:
228   dstr_destroy(&d);
229   return (e);
230 }
231
232 /* --- @algs_check@ --- *
233  *
234  * Arguments:   @algswitch *a@ = a choice of algorithms
235  *              @const group *g@ = the group we're working in
236  *
237  * Returns:     Null if OK, or an error message.
238  *
239  * Use:         Checks an algorithm choice for sensibleness.  This also
240  *              derives some useful information from the choices, and you
241  *              must call this before committing the algorithm selection
242  *              for use by @keyset@ functions.
243  */
244
245 static const char *algs_check(algswitch *a, const group *g)
246 {
247   /* --- Derive the key sizes --- *
248    *
249    * Must ensure that we have non-empty keys.  This isn't ideal, but it
250    * provides a handy sanity check.
251    */
252
253   a->hashsz = a->h->hashsz;
254   if ((a->cksz = keysz(a->hashsz, a->c->keysz)) == 0)
255     return ("no key size found for cipher");
256   if ((a->mksz = keysz(a->hashsz, a->m->keysz)) == 0)
257     return ("no key size found for MAC");
258
259   /* --- Ensure that the tag size is sane --- */
260
261   if (a->tagsz > a->m->hashsz) return ("tag length too large");
262
263   /* --- Ensure the MGF accepts hashes as keys --- */
264
265   if (keysz(a->hashsz, a->mgf->keysz) != a->hashsz)
266     return ("MGF not suitable -- restrictive key schedule");
267
268   /* --- All ship-shape and Bristol-fashion --- */
269
270   return (0);
271 }
272
273 /* --- @algs_samep@ --- *
274  *
275  * Arguments:   @const algswitch *a, *aa@ = two algorithm selections
276  *
277  * Returns:     Nonzero if the two selections are the same.
278  *
279  * Use:         Checks sameness of algorithm selections: used to ensure that
280  *              peers are using sensible algorithms.
281  */
282
283 static int algs_samep(const algswitch *a, const algswitch *aa)
284 {
285   return (a->c == aa->c && a->mgf == aa->mgf && a->h == aa->h &&
286           a->m == aa->m && a->tagsz == aa->tagsz);
287 }
288
289 /*----- Main code ---------------------------------------------------------*/
290
291 /* --- @keymoan@ --- *
292  *
293  * Arguments:   @const char *file@ = name of the file
294  *              @int line@ = line number in file
295  *              @const char *msg@ = error message
296  *              @void *p@ = argument pointer
297  *
298  * Returns:     ---
299  *
300  * Use:         Reports an error message about loading a key file.
301  */
302
303 static void keymoan(const char *file, int line, const char *msg, void *p)
304   { a_warn("%s:%i: error: %s", file, line, msg); }
305
306 /* --- @loadpriv@ --- *
307  *
308  * Arguments:   @dstr *d@ = string to write errors in
309  *
310  * Returns:     Zero if OK, nonzero on error.
311  *
312  * Use:         Loads the private key from its keyfile.
313  */
314
315 static int loadpriv(dstr *d)
316 {
317   key_file kf;
318   key *k;
319   key_data *kd;
320   dstr t = DSTR_INIT;
321   group *g = 0;
322   mp *x = 0;
323   int rc = -1;
324   const kgops **ko;
325   const char *e;
326   algswitch a;
327
328   /* --- Open the private key file --- */
329
330   if (key_open(&kf, kr_priv, KOPEN_READ, keymoan, 0)) {
331     dstr_putf(d, "error reading private keyring `%s': %s",
332               kr_priv, strerror(errno));
333     goto done_0;
334   }
335
336   /* --- Find the private key --- */
337
338   if (key_qtag(&kf, tag_priv, &t, &k, &kd)) {
339     dstr_putf(d, "private key `%s' not found in keyring `%s'",
340               tag_priv, kr_priv);
341     goto done_1;
342   }
343
344   /* --- Look up the key type in the table --- */
345
346   for (ko = kgtab; *ko; ko++) {
347     if (strcmp((*ko)->ty, k->type) == 0)
348       goto tymatch;
349   }
350   dstr_putf(d, "private key `%s' has unknown type `%s'", t.buf, k->type);
351   goto done_1;
352 tymatch:;
353
354   /* --- Load the key --- */
355
356   if ((e = (*ko)->loadpriv(kd, &g, &x, &t)) != 0) {
357     dstr_putf(d, "error reading private key `%s': %s", t.buf, e);
358     goto done_1;
359   }
360
361   /* --- Check that the key is sensible --- */
362
363   if ((e = G_CHECK(g, &rand_global)) != 0) {
364     dstr_putf(d, "bad group in private key `%s': %s", t.buf, e);
365     goto done_1;
366   }
367
368   /* --- Collect the algorithms --- */
369
370   if ((e = algs_get(&a, &kf, k)) != 0 ||
371       (e = algs_check(&a, g)) != 0) {
372     dstr_putf(d, "bad symmetric algorithm selection in private key `%s': %s",
373               t.buf, e);
374     goto done_1;
375   }
376
377   /* --- Good, we're happy --- *
378    *
379    * Dodginess!  We change the group over here, but don't free any old group
380    * elements.  This assumes that the new group is basically the same as the
381    * old one, and will happily adopt the existing elements.  If it isn't,
382    * then we lose badly.  Check this, then.
383    */
384
385   if (gg) {
386     if (!group_samep(g, gg)) {
387       dstr_putf(d, "private key `%s' has different group", t.buf);
388       goto done_1;
389     }
390     G_DESTROYGROUP(gg);
391   }
392   if (kpriv)
393     mp_drop(kpriv);
394
395   /* --- Dump out the group --- */
396
397   IF_TRACING(T_KEYMGMT, {
398     trace(T_KEYMGMT, "keymgmt: extracted private key `%s'", t.buf);
399     IF_TRACING(T_CRYPTO, {
400       trace(T_CRYPTO, "crypto: r = %s", mpstr(g->r));
401       trace(T_CRYPTO, "crypto: h = %s", mpstr(g->h));
402       trace(T_CRYPTO, "crypto: x = %s", mpstr(x));
403       trace(T_CRYPTO, "crypto: cipher = %s", a.c->name);
404       trace(T_CRYPTO, "crypto: mgf = %s", a.mgf->name);
405       trace(T_CRYPTO, "crypto: hash = %s", a.h->name);
406       trace(T_CRYPTO, "crypto: mac = %s/%lu",
407             a.m->name, (unsigned long)a.tagsz * 8);
408     })
409   })
410
411   /* --- Success! --- */
412
413   gg = g; g = 0;
414   algs = a;
415   kpriv = x; x = 0;
416   rc = 0;
417
418   /* --- Tidy up --- */
419
420 done_1:
421   key_close(&kf);
422 done_0:
423   dstr_destroy(&t);
424   if (x) mp_drop(x);
425   if (g) G_DESTROYGROUP(g);
426   return (rc);
427 }
428
429 /* --- @loadpub@ --- *
430  *
431  * Arguments:   @dstr *d@ = string to write errors to
432  *
433  * Returns:     Zero if OK, nonzero on error.
434  *
435  * Use:         Reloads the public keyring.
436  */
437
438 static int loadpub(dstr *d)
439 {
440   key_file *kf = CREATE(key_file);
441
442   if (key_open(kf, kr_pub, KOPEN_READ, keymoan, 0)) {
443     dstr_putf(d, "error reading public keyring `%s': %s",
444               kr_pub, strerror(errno));
445     DESTROY(kf);
446     return (-1);
447   }
448   kf_pub = kf;
449   T( trace(T_KEYMGMT, "keymgmt: loaded public keyring `%s'", kr_pub); )
450   return (0);
451 }
452
453 /* --- @km_interval@ --- *
454  *
455  * Arguments:   ---
456  *
457  * Returns:     Zero if OK, nonzero to force reloading of keys.
458  *
459  * Use:         Called on the interval timer to perform various useful jobs.
460  */
461
462 int km_interval(void)
463 {
464   dstr d = DSTR_INIT;
465   key_file *kf;
466   int reload = 0;
467
468   /* --- Check the private key first --- */
469
470   if (fwatch_update(&w_priv, kr_priv)) {
471     T( trace(T_KEYMGMT, "keymgmt: private keyring updated: reloading..."); )
472     DRESET(&d);
473     if (loadpriv(&d))
474       a_warn("%s -- ignoring changes", d.buf);
475     else
476       reload = 1;
477   }
478
479   /* --- Now check the public keys --- */
480
481   if (fwatch_update(&w_pub, kr_pub)) {
482     T( trace(T_KEYMGMT, "keymgmt: public keyring updated: reloading..."); )
483     kf = kf_pub;
484     DRESET(&d);
485     if (loadpub(&d))
486       a_warn("%s -- ignoring changes", d.buf);
487     else {
488       reload = 1;
489       key_close(kf);
490       DESTROY(kf);
491     }
492   }
493
494   /* --- Done --- */
495
496   return (reload);
497 }
498
499 /* --- @km_init@ --- *
500  *
501  * Arguments:   @const char *priv@ = private keyring file
502  *              @const char *pub@ = public keyring file
503  *              @const char *tag@ = tag to load
504  *
505  * Returns:     ---
506  *
507  * Use:         Initializes, and loads the private key.
508  */
509
510 void km_init(const char *priv, const char *pub, const char *tag)
511 {
512   dstr d = DSTR_INIT;
513   const gchash *const *hh;
514
515   kr_priv = priv;
516   kr_pub = pub;
517   tag_priv = tag;
518   fwatch_init(&w_priv, kr_priv);
519   fwatch_init(&w_pub, kr_pub);
520
521   for (hh = ghashtab; *hh; hh++) {
522     if ((*hh)->hashsz > MAXHASHSZ) {
523       die(EXIT_FAILURE, "INTERNAL ERROR: %s hash length %lu > MAXHASHSZ %d",
524           (*hh)->name, (unsigned long)(*hh)->hashsz, MAXHASHSZ);
525     }
526   }
527
528   DRESET(&d);
529   if (loadpriv(&d))
530     die(EXIT_FAILURE, "%s", d.buf);
531   if (loadpub(&d))
532     die(EXIT_FAILURE, "%s", d.buf);
533 }
534
535 /* --- @km_getpubkey@ --- *
536  *
537  * Arguments:   @const char *tag@ = public key tag to load
538  *              @ge *kpub@ = where to put the public key
539  *              @time_t *t_exp@ = where to put the expiry time
540  *
541  * Returns:     Zero if OK, nonzero if it failed.
542  *
543  * Use:         Fetches a public key from the keyring.
544  */
545
546 int km_getpubkey(const char *tag, ge *kpub, time_t *t_exp)
547 {
548   key *k;
549   key_data *kd;
550   dstr t = DSTR_INIT;
551   const kgops **ko;
552   const char *e;
553   group *g = 0;
554   ge *p = 0;
555   algswitch a;
556   int rc = -1;
557
558   /* --- Find the key --- */
559
560   if (key_qtag(kf_pub, tag, &t, &k, &kd)) {
561     a_warn("public key `%s' not found in keyring `%s'", tag, kr_pub);
562     goto done;
563   }
564
565   /* --- Look up the key type in the table --- */
566
567   for (ko = kgtab; *ko; ko++) {
568     if (strcmp((*ko)->ty, k->type) == 0)
569       goto tymatch;
570   }
571   a_warn("public key `%s' has unknown type `%s'", t.buf, k->type);
572   goto done;
573 tymatch:;
574
575   /* --- Load the key --- */
576
577   if ((e = (*ko)->loadpub(kd, &g, &p, &t)) != 0) {
578     a_warn("error reading public key `%s': %s", t.buf, e);
579     goto done;
580   }
581
582   /* --- Ensure that the group is correct --- *
583    *
584    * Dodginess!  We assume that if this works, our global group is willing to
585    * adopt this public element.  Probably reasonable.
586    */
587
588   if (!group_samep(gg, g)) {
589     a_warn("public key `%s' has incorrect group", t.buf);
590     goto done;
591   }
592
593   /* --- Check the public group element --- */
594
595   if (group_check(gg, p)) {
596     a_warn("public key `%s' has bad public group element", t.buf);
597     goto done;
598   }
599
600   /* --- Check the algorithms --- */
601
602   if ((e = algs_get(&a, kf_pub, k)) != 0) {
603     a_warn("public key `%s' has bad algorithm selection: %s", t.buf, e);
604     goto done;
605   }
606   if (!algs_samep(&a, &algs)) {    
607     a_warn("public key `%s' specifies different algorithms", t.buf);
608     goto done;
609   }
610
611   /* --- Dump the public key --- */
612
613   IF_TRACING(T_KEYMGMT, {
614     trace(T_KEYMGMT, "keymgmt: extracted public key `%s'", t.buf);
615     trace(T_CRYPTO, "crypto: p = %s", gestr(gg, p));
616   })
617
618   /* --- OK, accept the public key --- */
619
620   *t_exp = k->exp;
621   G_COPY(gg, kpub, p);
622   rc = 0;
623
624   /* --- Tidy up --- */
625
626 done:
627   if (p) G_DESTROY(g, p);
628   if (g) G_DESTROYGROUP(g);
629   dstr_destroy(&t);
630   return (rc);
631 }
632
633 /*----- That's all, folks -------------------------------------------------*/